ファイアウォールの向こう側にある Azure Key Vault へのアクセス
ファイアウォールの内側のキー コンテナー クライアント アプリケーションがキー コンテナーにアクセスできるようにするには、どのポート、ホスト、または IP アドレスを開く必要がありますか。
キー コンテナーにアクセスするには、Key Vault クライアント アプリケーションが、各種の機能のために複数のエンドポイントにアクセスする必要があります。
- Microsoft Entra ID を使用した認証。
- Azure Key Vault の管理。 これには、Azure Resource Manager を使用した作成、読み取り、更新、削除、アクセス ポリシーの設定が含まれます。
- Key Vault 自体に格納されているオブジェクト (キーとシークレット) へのアクセスと管理は、Key Vault 固有のエンドポイントを経由して行われます (例:
https://yourvaultname.vault.azure.net)。
実際の構成と環境に応じて、いくつかのバリエーションがあります。
Port
認証、管理、データ プレーン アクセスの 3 つの機能すべてに関して、Key Vault への全トラフィックはポート 443 (HTTPS) を経由します。 ただし CRL については、トラフィックがポート 80 (HTTP) を経由する場合があります。 OCSP をサポートするクライアントは、CRL には到達しませんが、ここに一覧表示されている CRL エンドポイントに到達する場合があります。
認証
Key Vault クライアント アプリケーションは、認証のために Microsoft Entra エンドポイントにアクセスする必要があります。 使用されるエンドポイントは、Microsoft Entra テナント構成とプリンシパルの種類 (ユーザー プリンシパルまたはサービス プリンシパル)、アカウントの種類 (Microsoft アカウントや職場または学校のアカウンなど) によって異なります。
| プリンシパルの種類 | エンドポイント:ポート |
|---|---|
| Microsoft アカウントを使用しているユーザー (例: user@hotmail.com) |
グローバル: login.microsoftonline.com:443 21Vianet によって運営される Microsoft Azure: login.chinacloudapi.cn:443 Azure US Government: login.microsoftonline.us:443 Azure Germany: login.microsoftonline.de:443 および login.live.com:443 |
| Microsoft Entra ID と共に職場または学校アカウントを使用しているユーザーまたはサービス プリンシパル (例: user@contoso.com) | グローバル: login.microsoftonline.com:443 21Vianet によって運営される Microsoft Azure: login.chinacloudapi.cn:443 Azure US Government: login.microsoftonline.us:443 Azure Germany: login.microsoftonline.de:443 |
| Active Directory フェデレーション サービス (AD FS) または他のフェデレーション エンドポイントと共に職場または学校アカウントを使用しているユーザーまたはサービス プリンシパル (例: user@contoso.com) | 職場または学校のアカウント用のすべてのエンドポイントと AD FS またはその他のフェデレーション エンドポイント |
ほかにも複雑なシナリオが存在する場合があります。 詳細については、Microsoft Entra の認証フローに関するページ、「Microsoft Entra ID とアプリケーションの統合」、Active Directory の認証プロトコルに関するページを参照してください。
キー コンテナーの管理
キー コンテナーの管理 (CRUD とアクセス ポリシーの設定) のために、Key Vault クライアント アプリケーションは Azure Resource Manager エンドポイントにアクセスする必要があります。
| 操作の種類 | エンドポイント:ポート |
|---|---|
| Key Vault コントロール プレーン操作 (Azure Resource Manager を使用) |
グローバル: management.azure.com:443 21Vianet によって運営される Microsoft Azure: management.chinacloudapi.cn:443 Azure US Government: management.usgovcloudapi.net:443 Azure Germany: management.microsoftazure.de:443 |
| Microsoft Graph API | グローバル: graph.microsoft.com:443 21Vianet によって運営される Microsoft Azure: graph.chinacloudapi.cn:443 Azure US Government: graph.microsoft.com:443 Azure Germany: graph.cloudapi.de:443 |
Key Vault の操作
すべてのキー コンテナー オブジェクト (キーとシークレット) の管理と暗号化の操作のために、Key Vault クライアントはキー コンテナー エンドポイントにアクセスする必要があります。 キー コンテナーの場所によって、エンドポイント DNS サフィックスが異なります。 キー コンテナー エンドポイントは、次の表で説明しているように vault-name.region-specific-dns-suffix の形式になります。
| 操作の種類 | エンドポイント:ポート |
|---|---|
| キーの暗号化操作、キーとシークレットの作成、読み取り、更新、削除、キー コンテナー オブジェクト (キーまたはシークレット) に対するタグと他の属性の設定または取得などの操作 | グローバル: <vault-name>.vault.azure.net:443 21Vianet によって運営される Microsoft Azure: <vault-name>.vault.azure.cn:443 Azure US Government: <vault-name>.vault.usgovcloudapi.net:443 Azure Germany: <vault-name>.vault.microsoftazure.de:443 |
IP アドレス範囲
Key Vault サービスでは、PaaS インフラストラクチャなどの他の Azure リソースを使用します。 そのため、Key Vault サービス エンドポイントが常に持つことになる、特定の範囲の IP アドレスは提供されません。 ファイアウォールで IP アドレス範囲のみがサポートされている場合は、以下に示す Microsoft Azure データセンターの IP 範囲のドキュメントを参照してください。
認証と ID (Microsoft Entra ID) はグローバル サービスであり、予告なしに他のリージョンにフェールオーバーしたり、トラフィックを移動したりする可能性があります。 このシナリオでは、認証と ID の IP アドレスに関する記事に記載されているすべての IP 範囲を、ファイアウォールに追加する必要があります。
次のステップ
Key Vault に関する質問がある場合は、Azure Key Vault に関する Microsoft Q&A 質問ページにアクセスしてください。